Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
การก ากับดูแลและบริหารจัดการความเสี่ยง ด้านเทคโนโลยีสารสนเทศของบริษัทประกันภัย
Governance and Management of Information Technology Risk
| ธรุกจิประกนัชวีติ | ธรุกจิประกนัวนิาศภยั |
โครงการยกระดับการก ากับดูแลและการบริหารความเสี่ยงด้านดิจิทัล
เอกสารประกอบการอบรม เร ือ่ง หลกัเกณฑก์ารก ากบัดแูลและบรหิารจดัการความเสีย่งดา้นเทคโนโลยสีารสนเทศของบรษิทัประกนัภยั
(Governance and Management for Information Technology Risk) วนัที ่9 - 10 ตลุาคม 2562 ณ ส านกังาน คปภ.
2
แนวทางด าเนนิการบรหิารจดัการความเสีย่งดา้นเทคโนโลยสีารสนเทศ
(IT Risk Management)
3
Standards for IT Risk & Information Security Risk Management
ISO 31000:2009 Risk Management –Principles and Guidelines
ISO/IEC 27005:2011 Information Security Risk Management
ISO/IEC 27005:2018 Information Security Risk Management
ISO 31000:2018 Risk Management -Guidelines
4
Standards for IT Risk & Information Security Risk Management
IT Risk Assessment: Event-based vs. Asset-based
5
Standards for IT Risk & Information Security Risk Management
IT Risk Assessment: Event-based vs. Asset-based
6
Risk-based Standards and Best Practices
7
ISO 31000 : “Risk Management Framework”
Framework
Source: “Relationships between the risk management principles, framework and process”, ISO 31000:2009 , www.ISO.org
8
ISO 31000 : “Risk Management Process”
Source: “Relationships between the risk management principles, framework and process”, ISO 31000:2009 , www.ISO.org
9 Source: “Relationships between the risk management principles, framework and process”, ISO 31000:2018 , www.ISO.org
กรอบการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
IT Risk Management Framework
โครงสรา้ง การบรหิารความเสีย่ง ดา้นเทคโนโลยีสารสนเทศ
นโยบาย การบรหิารความเสีย่ง ดา้นเทคโนโลยีสารสนเทศ
การบรูณาการ
Integration
การออกแบบ
Design
การด าเนนิการ
Implementation
การประเมนิผล
Evaluation
การปรบัปรงุ
Improvement ความเป็นผูน้ า
และความมุง่ม ัน่
Leadership
and Commitment
กระบวนการบรหิารความเสีย่ง ดา้นเทคโนโลยสีารสนเทศ
กระบวนการ จดัการความเสีย่ง
ดา้นเทคโนโลยสีารสนเทศ
กระบวนการ ประเมนิความเสีย่ง
ดา้นเทคโนโลยสีารสนเทศ
เกณฑก์าร ประเมนิความเสีย่ง
ดา้นเทคโนโลยสีารสนเทศ
10
มาตรฐานการบริหารความเสี่ยง ISO 31000:2018
Source: “Relationships between the risk management principles, framework and process”, ISO 31000:2018 , www.ISO.org
กระบวนการบรหิารความเสีย่ง (Risk Management Process)
1. Communication and consultation
2. Scope, context and criteria
3. Risk assessment
(1) Risk identification
(2) Risk analysis
(3) Risk evaluation
4. Risk treatment
(1) Selection of risk treatment options
(2) Preparing and implementing risk treatment plans
5. Monitoring and review
6. Recording and reporting
11
Risk Assessment Criteria
Source: COBIT 5, www.ISACA.org
Risk Assessment Criteria : “Impact” and “Likelihood”
Risk Acceptance Criteria : Acceptable level of risk (Risk appetite)
Impact & Consequences
12
ILLUSTRATIVE Risk Acceptance (Risk Appetite)
Source: COBIT 5, www.ISACA.org
13
Risk Scenarios and Risk Appetite (Acceptance)
Source: COBIT 5, www.ISACA.org
14
“Risk Scenario for IT-related Risk Assessment”
(Based on COBIT 5 for Risk)
Risk Identification (cont.) Definition of Risk Scenarios
Source: COBIT 5, www.ISACA.org
15
Categories of IT Risk and Risk Scenarios Based on IT Governance: COBIT 5 Implementation
Source: “COBIT 5 Implementation”, 2012, www.ISACA.org
Three-Level IT Risk Scenarios IT Risk Scenarios
Source: “COBIT 5 Implementation” “COBIT 5 for Risk”,, www.ISACA.org
16
ISO/IEC 27005 Annex C: Examples of typical threats
Physical damage • Water damage
• Dust, corrosion, freezing
Natural events • Volcanic phenomenon
• Flood
Loss of essential services • Failure of air-conditioning or water
supply system
• Loss of power supply
Disturbance due to radiation • Electromagnetic radiation
• Electromagnetic pulses
Compromise of information
• Remote spying
• Retrieval of recycled or discarded media
Technical failures
• Equipment failure
• Equipment malfunction
Unauthorised Actions
• Unauthorised use of equipment
• Corruption of data
Compromise of functions
• Error in use
• Abuse of rights
IT-related Threats & Vulnerabilities
17
IT-related Threats & Vulnerabilities
ISO/IEC 27005 Annex D: Examples of vulnerabilities
Personnel • Absence of personnel
• Lack of security awareness
Site • Inadequate or careless use of physical
• Unstable power grid
Organization • Lack of formal process for access right review
(supervision)
• Lack or insufficient Service Level Agreement
Hardware • Lack of periodic replacement schemes
• Lack of care at disposal
Software • Incorrect parameter set up
• Lack of back-up copies
Network • Single point of failure
• Transfer of passwords in clear
18
ISO/IEC 27001:2013 – Information Security Management System: ISMS Requirements
19
ISO/IEC 27001:2013 – Information Security Management System: ISMS Requirements
Organizations can design controls as required, or identify them from any source. Control objectives are implicitly included in the controls chosen. The control objectives and controls listed in Annex A are not exhaustive and additional control objectives and controls may be needed.
20 Source: “COBIT 5 Implementation”, 2012, www.ISACA.org
ตวัอยา่งแบบประเมนิความเสีย่งดา้นเทคโนโลยสีารสนเทศ
ล าดับที ่อา้งองิชดุสถานการณ์
ความเสีย่ง
Risk Item No. RS#
ภาพรวมเหตกุารณ์ ความเสีย่ง
Risk Event Description
ประเภทเหตกุารณ์
Event Type
กลุม่ทรัพยส์นิ ทีไ่ดรั้บผลกระทบ
Areas of Impact (Assets)
รหัสกลุม่ทรัพยส์นิ
Group Asset ID
# 01 # 02 # 03 # 04 # 05 # 06 # 07
สว่นทีไ่ดรั้บผลกระทบ
Risk Scenarios
ชอ่งโหว ่ ภัยคกุคาม ประเภท ภัยคกุคาม
Vulnerabilities Threats
เวลา
Time
ผูท้ าใหเ้กดิความเสีย่ง
Risk Actors
กจิกรรม/มาตรการควบคมุปัจจบุันและ
ประสทิธผิลการควบคมุ
Existing Controls and Effectiveness
ผูรั้บผดิชอบ ความเสีย่ง
Risk Owner
# 01 # 08 # 09 # 10 # 11 # 12 # 13
Threat Type
แหลง่ความเสีย่งและปัจจัยความเสีย่ง
No.
# 14
[ ] IT Risk [ ] Information Security Risk (ISMS) [ ] Cybersecurity Risk สว่นที ่1 ระบคุวามเสีย่ง (Risk identification)
ชดุรายการ ความเสีย่ง
21
ตวัอยา่งแบบประเมนิความเสีย่งดา้นเทคโนโลยสีารสนเทศ
No. Consequence and Impact Exposure
ทางเลอืก จัดการความเสีย่ง
Options for risk treatment
มาตรการ จัดการความเสีย่ง
# 01 #15 # 23
แนวทางจัดการความเสีย่ง
Impact
สว่นที ่2 วเิคราะหแ์ละประเมนิระดบัความเสีย่ง (Risk analysis & Risk evaluation)
ชดุรายการ ความเสีย่ง
ระดับความรนุแรง/ผลสบืเนือ่ง จากผลกระทบทีไ่ดรั้บ
1 2 3 4 5 6 7 8
#16 #17 #18 #19 #20 #21 #22
วเิคราะห(์ค านวณ)ระดับความเสีย่ง
ระดับ ผลกระทบ
ระดับ โอกาสเกดิ
คา่ระดับ ความเสีย่ง
ระดับความเสีย่ง
Likelihood Risk Value Risk Level
ประเมนิระดับความเสีย่ง
การตอบสนองความเสีย่ง
Risk Response
Against
Risk Acceptance
Controls for risk treatment
# 24 # 25 # 26 # 27 # 28 # 29 # 30
ล าดับ ความส าคัญ
Priority
No. Consequence and Impact Exposure Risk Treatment Plan (RTP) Subject
เกณฑว์ดัผล (ตัวชีว้ดั)
# 01 #31 # 39
รายการ แผนจัดการความเสีย่ง
Impact
ชดุรายการ ความเสีย่ง ทีต่อ้ง จัดการ
ความเสีย่ง
ระดับความรนุแรง/ผลสบืเนือ่ง ผลกระทบทีเ่ปลีย่นแปลง
1 2 3 4 5 6 7 8
#32 #33 #34 #35 #36 #37 #38
ประเมนิระดับความเสีย่งคงเหลอื ระดับความเสีย่ง คงเหลอื
Likelihood Risk Value Residual Risk
ล าดับ รายการ
RTP No. RTP Effectiveness
# 40 # 41 # 42 # 43 # 44 # 45 # 46
ทรัพยากร
Resource
สว่นที ่3 จดัการความเสีย่ง
ส่วนที่ 3 จัดการความเส่ียง (Risk treatment) ..ต่อ
แผนจัดการความเสีย่ง
ระดับ ผลกระทบ
ระดับ โอกาสเกดิ
คา่ระดับ ความเสีย่ง
22
Risk Treatment and
Risk Response Options
23
แนวทางด าเนนิการดา้นความม ัน่คงปลอดภยัไซเบอร ์
(Cybersecurity)
24
Identify Protect Detect Response Recover
Cybersecurity Framework and Compliance การจัดท าและด าเนินการ “กรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์” ในการปฏิบัติสอดคลอ้งตามพระราชบัญญัตวิา่ด้วยการรักษาความมัน่คงปลอดภัยไซเบอร์
พ.ร.บ. ไซเบอร์ การระบุความเสี่ยงท่ีอาจจะเกิดขึ้น มาตรการป้องกันความเสี่ยงท่ีอาจจะเกิดขึ้น
มาตรการตรวจสอบและเฝ้าระวัง ภัยคุกคามทางไซเบอร์
มาตรการเผชิญเหตุ เมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์
มาตรการรักษาและฟื้นฟูความเสียหาย ที่เกิดจากภัยคุกคามทางไซเบอร์
มาตรา 13 (4)
What techniques can contain impacts of incidents? What techniques can restore capabilities? What processes and assets need protection? What safeguards are available? What techniques can identify incidents?
Preventive Corrective / Responsive
25
NIST Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1, 2018
NIST Cybersecurity Framework
NIST Cybersecurity Framework
IDENTIFY PROTECT DETECT RESPONSE RECOVER
Asset Management
Business Environment
Governance
Risk Assessment
Risk Management Strategy
Supply Chain Risk Strategy
Identity Management and Access Control
Awareness and Training
Data Security
Information Protection Processes and Procedures
Maintenance
Protective Technology
Anomalies and Events
Security Continuous Monitoring
Detection Processes
Response Planning
Communications
Analysis
Mitigation
Improvements
Recovery Planning
Improvements
Communications
พ.ร.บ. ไซเบอร์ การระบุความเสี่ยงท่ีอาจจะเกิดขึ้น มาตรการป้องกันความเสี่ยงท่ีอาจจะเกิดขึ้น
มาตรการตรวจสอบและเฝ้าระวัง ภัยคุกคามทางไซเบอร์
มาตรการเผชิญเหตุ เมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์
มาตรการรักษาและฟื้นฟูความเสียหาย ที่เกิดจากภัยคุกคามทางไซเบอร์
มาตรา 13 (4)
What techniques can contain impacts of incidents? What techniques can restore capabilities? What processes and assets need protection? What safeguards are available? What techniques can identify incidents?
26
ภัยคุกคามทางไซเบอร์ Cyber Threats
ภัยคุกคามทางไซเบอร์ในระดับร้ายแรง
27
NIST Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1, 2018
NIST Cybersecurity Framework
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
https://www.us-cert.gov/resources/cybersecurity-framework
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
28
Framework Core Structure:
Establishing or Improving a Cybersecurity Program
Step 1: Prioritize and Scope
Step 2: Orient
Step 3: Create a Current Profile
Step 4: Conduct a Risk Assessment
Step 5: Create a Target Profile
Step 6: Determine, Analyze, and
Prioritize Gaps
Step 7: Implement Action Plan
determine the scope of the cybersecurity program.
identifies business/mission objectives and high-level organizational priorities, strategic decisions regarding cybersecurity implementations and determines the scope of systems and assets that support the selected business line or process.
identifies related systems and assets, regulatory requirements, and overall risk approach, threats and vulnerabilities applicable to those systems and assets.
indicate achievement of Category and Subcategory outcomes from the Framework Core
identify emerging risks and use cyber threat information from internal and external sources to gain a better understanding of the likelihood and impact of cybersecurity events
describe the organization’s desired cybersecurity outcomes, to account for unique organizational risks
compares the Current Profile and the Target Profile to determine gaps, creates a prioritized action plan to address gaps – reflecting mission drivers, costs and benefits, and risks – to achieve the outcomes in the Target Profile.
determine which actions to take to address the gaps, if any, identified in the previous step and then adjusts its current cybersecurity practices in order to achieve the Target Profile;
including those that are sector specific, work best for their needs
determine which standards, guidelines, and practices,
NIST Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1, 2018
NIST Cybersecurity Framework
29
ตัวอย่างแนวทางด าเนินการกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ Cybersecurity Framework Implementation Guidance
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< t = 0 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Identify & Protect (be ready to be secured)
Business Impact Analysis (BIA)
Cybersecurity Gap Analysis/ Cyber Risk Assessment based on Risk Scenario
Vulnerability Assessment/Management Compromised Assessment /
Red Team Penetration Testing
Cybersecurity & Privacy Awareness Training
Develop Cyber Drill Scenarios/ Cyber Incident Response Plans
Exercise/Measure Cyber Drill
Detect (t<0) (before security incident /data breach)
24x7 Managed Next-Gen SOC
Threat Intelligence
Big Data Analytics & Machine Learning
Social Listening/Analytics
Advanced APT/ Malware In-Depth Analytics
Pre-Crisis Management
Event Management
Respond (t>0) (after security incident /data breach)
Incident Response & Incident Handling
Incident Management/ Problem Management
Digital Forensics & Investigation
APT/Malware Hunting
Crisis Management
Root Cause Analysis Post-Respond Report
Law Enforcement Coordination
30
ตัวอย่างแนวทางก ากับดูแลด้าน Cybersecurity (Cyber Resilience) ของ ธปท.
31
CSF Current State vs. Target State
NIST Cybersecurity Framework (CSF)
32
CSF: Framework Implementation Rating
Achievement Rating Scale for CSF Sub-Categories
33
Reference Cybersecurity Resilience
Implementation
Source: “European Cybersecurity Implementation: Overview”, www.ISACA.org
34 Source: “European Cybersecurity Implementation: Overview”, www.ISACA.org
Implementing Cybersecurity Resilience
1. Preparing the Business Case for Cybersecurity Implementation
2. Cybersecurity Governance
3. Managing Cybersecurity Risk
4. Managing Cybersecurity Resilience
5. Cybersecurity Assurance
35 Source: “European Cybersecurity Implementation: Resilience”, www.ISACA.org
The Cybersecurity Resilience Life Cycle
Understanding Cybersecurity Requirements
Define Resilience Strategy
Implement Resilience Solutions
Exercise, Maintain and Review
36
Risk Overview
and Strategy
Source: “European Cybersecurity Implementation: Risk Guidance”, www.ISACA.org
Risk assessment and management
in Europe is covered in a number of
frameworks and standards.
Figure 5 shows a high-level
overview of the subprocesses that
form part of the risk management
process that the European Network
and Information Security Agency
(ENISA) suggests.
37
การก ากับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันภัย (Governance and Management of Information Technology Risk)
38